BDU:2021-00902: Уязвимость интерфейса File System API веб-браузера Google Chrome, позволяющая нарушителю обойти существующие ограничения безопасности

Описание уязвимости

Уязвимость интерфейса File System API веб-браузера Google Chrome связана с недостатками процедуры аутентификации. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, обойти существующие ограничения безопасности

Вендор

Microsoft Corp., Сообщество свободного программного обеспечения, ООО «РусБИТех-Астра», Novell Inc., Google Inc., АО "НППКТ", АО «Концерн ВНИИНС»

Наименование ПО

Microsoft Edge, Debian GNU/Linux, Astra Linux Special Edition (запись в едином реестре российских программ №369), OpenSUSE Leap, SUSE Package Hub for SUSE Linux Enterprise, Google Chrome, ОСОН ОСнова Оnyx (запись в едином реестре российских программ №5913), ОС ОН «Стрелец» (запись в едином реестре российских программ №6177)

Версия ПО

  • - (Microsoft Edge)
  • 9 (Debian GNU/Linux)
  • 1.6 «Смоленск» (Astra Linux Special Edition)
  • 15.1 (OpenSUSE Leap)
  • 10 (Debian GNU/Linux)
  • 15.2 (OpenSUSE Leap)
  • 15 SP2 (SUSE Package Hub for SUSE Linux Enterprise)
  • до 88.0.4324.96 (Google Chrome)
  • 15 SP1 (SUSE Package Hub for SUSE Linux Enterprise)
  • 1.7 (Astra Linux Special Edition)
  • 4.7 (Astra Linux Special Edition)
  • до 2.1 (ОСОН ОСнова Оnyx)
  • до 16.01.2023 (ОС ОН «Стрелец»)

Тип ПО

Прикладное ПО информационных систем, Операционная система

Операционные системы и аппаратные платформы

Тип ошибки

Неправильная аутентификация

Идентификатор типа ошибки

Класс уязвимости

Уязвимость кода

Дата выявления

20.01.2021

Базовый вектор уязвимости

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 4,3)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,3)

Возможные меры по устранению уязвимости

Использование рекомендаций:
Для Google Chrome:
https://chromereleases.googleblog.com/2021/01/stable-channel-update-for-desktop_19.html

Для программных продуктов Microsoft Corp.:
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-21130

Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2021-21130

Для программных продуктов Novell Inc.:
https://www.suse.com/security/cve/CVE-2021-21130/


Для Astra Linux:

Использование рекомендаций производителя:
https://wiki.astralinux.ru/astra-linux-se16-bulletin-20210730SE16
https://wiki.astralinux.ru/astra-linux-se17-bulletin-2021-1126SE17
https://wiki.astralinux.ru/astra-linux-se47-bulletin-2022-0114SE47

Для ОСОН Основа:
Обновление программного обеспечения chromium до версии 90.0.4430.212+repack-1~deb10u1.osnova2

Для ОС ОН «Стрелец»:
Обновление программного обеспечения chromium до версии 105.0.5195.125+repack2-1~deb11u1.osnova1.strelets

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Способ эксплуатации

  • Нарушение аутентификации

Способ устранения

Обновление программного обеспечения

Информация об устранении

Уязвимость устранена

Идентификаторы других систем описаний уязвимостей

Прочая информация

Данные уточняются
Последние изменения